（图片来源：Adobe Stock）

简单回顾一下：十月的某个周日早晨（2025年10月19日，译者注），光天化日之下，一伙窃贼仅用4分钟就从卢浮宫盗走了法国王室珠宝。这起案件已经足够离奇了，后续曝光的细节则更加令人瞠目：早在2014年的一次安全审计中就已经警告卢浮宫存在巨大的安全隐患，极易遭受攻击；而当时博物馆视频监控系统的密码正是 “LOUVRE”。

面对这份警告，卢浮宫在近十年来可以说是“无为而治”。直到如今，才算有了一个到 2032年前加强安全措施的规划。在2014至2025年间，有没有人改动过“LOUVRE”这个密码目前仍不得而知（想必现在已经改了）。但可以确定的是，卢浮宫在其数据保护策略方面存在重大漏洞——比如 2014 年，他们仍在使用Windows 2000系统，而微软早在4年前（2010年）已停止对该操作系统的支持。

卢浮宫不是孤例。很多组织都存在这种不完善且潜藏巨大风险的网络安全策略。我们要认识到，网络安全风险无处不在，无法杜绝；管理好这些风险才是真正的关键。

评估网络安全风险时，有两个核心变量：漏洞本身的严重性，以及该漏洞被利用的可能性。以“打补丁”为例，其重要性不言而喻，《Acronis 2025年上半年网络威胁报告》显示，在针对托管服务提供商（MSP）的所有攻击中，27%源于未打补丁的漏洞。未打补丁的系统仍是勒索软件的首选目标：2025 年上半年，遭遇勒索的数量比 2023 年和 2024 年同期增加了 70%。

然而，几乎没有哪个组织能够做到补丁一经发布就立即部署到所有系统或应用中。事实上，某些情况下立即打补丁反而可能弊大于利——2024年那起由CrowdStrike软件更新导致的（美国）航空业大面积停摆的事件就是铁证。

更优且更务实的做法是：隔离那些无法立即打补丁的系统、应用或设备。例如，绝不能让面向互联网的系统处于未打补丁状态。如果某个系统用户量庞大、或者连接互联网（或二者兼具），就应尽可能快速、高频地部署补丁程序，因为这类系统是主要的攻击向量（attack vector）。

后台系统和应用则不同。如果它们与互联网隔离，且仅限管理员或经过培训的可信人员使用，那么补丁周期可以适度放宽。如果不打算定期为某个应用或系统打补丁，将其置于多重防火墙之后也是个好办法。当然，未打补丁的系统始终是基础设施中的薄弱环节，但严格限制其访问权限，是行之有效的风险管理手段。

对运行着过时操作系统和应用的迁移策略也是同理。受预算、时间和性能要求限制，组织通常无法将基础设施中的所有系统都迁移到最新版本（甚至无法迁移到当前仍受支持的较低版本）。例如，在许多工业环境中，运营技术（Operation Technology，即OT）系统仍运行 在Windows XP之上——这款操作系统已有25年历史，且微软早在十多年前就已停止支持。

这里的思路与补丁管理一致：如果某个系统面向互联网或用户量很大，就应在（厂商）终止支持前完成迁移；如果迁移不现实或非必需，则应将该过时系统深藏在防火墙之后，仅允许确实需要使用它的受训人员访问。再次强调，您无法消除系统中的所有弱点，但可以让攻击者极难触及这些弱点。

当您 “深藏” 脆弱系统时，受攻击的可能性就随之降低。简而言之：系统被攻击的概率越高，您就越需要严格地执行补丁和迁移策略。漏洞无法消除，但可以隐藏。

让卢浮宫失窃案在网络安全圈臭名昭著的，无疑是 “LOUVRE” 这个密码。但在笑话别人之前，先看看现实吧。根据CNET报道，近一半的美国人都有不安全的密码习惯，约四分之一的人在不同账户中使用相同密码，更离谱的是，还有8%的人明知密码已经在数据泄露事件中曝光还会继续使用。这些人可能就是您组织的员工，甚至是您团队的一员。

组织可以通过几个步骤鼓励员工养成良好的密码使用习惯：首先，员工安全意识培训至关重要；其次，多因素认证（MFA）是绝对必要的，而且最好使用抗钓鱼的通行密钥（phishing-resistant passkeys）。此外，组织应要求员工使用密码管理器 —— 这是目前创建和存储密码最安全的方式。

还有一些良好的密码习惯可能会让您感到意外：首先，使用短语而非单词作为密码。例如，“P@ssword1!” 这类密码通常比 “thisismypersonalpasswordwithdetailsnobodycouldeverguess”（这是我的个人密码包含没人能猜到的细节，译者注）更易破解、安全性更低。配合密码管理器，用户只需记住一个主密码短语（master pass phrase），应用会自动生成其他密码。

定期更改密码的策略很常见，但其实没什么用。只要密码安全有效，就继续用着，没必要修改。事实上，要求员工定期改密码可能会适得其反——会导致员工使用过于简单的密码，比如：秋天使用 “Fall2025!”（Fall即秋天，译者注），到了冬季再换成 “Winter2025!” （WInter即冬天，译者注）。最后，再啰嗦一句，不要用组织名称作为密码。

卢浮宫在网络安全实践上的操作细节，应警示各组织审视自身安全计划。数据和系统就是您需要守卫的 “王室珠宝”。没有无懈可击的网络防御，但通过正确的策略，您可以制定一套网络安全计划：平衡系统脆弱性与受攻击可能性，从而大幅降低组织遭受网络攻击的风险。

文章来源：https://www.scworld.com/perspective/more-than-just-a-password-cybersecurity-lessons-from-the-louvre-heist